La fondation Apache diffuse depuis peu plusieurs mises à jour pour trois branches de Tomcat, utilisé pour monter des serveurs web et des servlets.

Elles corrigent toutes une vulnérabilité (CVE-2019-0232) pouvant permettre, si exploitée, l’exécution d’un code arbitraire. La faille réside dans le servlet CGI (Common Gateway Interface) quand il est exécuté sur Windows avec l’option enableCmdLineArguments active. Cette brèche se produit à cause d’un bug dans la manière dont Java communique des arguments à Windows.

Elle est considérée comme importante, mais pas critique. CGI n’est en effet pas actif par défaut, la branche Tomcat 9.0.X désactivant aussi l’option enableCmdLineArguments. Avec les patchs de sécurité, elle est également coupée par défaut dans les branches 7 et 8.

Les moutures touchées sont les suivantes :

• 9.0.0.M1 à 9.0.17
• 8.5.0 à 8.5.39
• 7.0.0 à 7.0.93

La faille a été communiquée à Apache le 3 mars par Nightwatch Security et révélée le 10 mars suite à la publication des mises à jour. Les administrateurs sont évidemment encouragés à mettre à jour leurs installations aussi rapidement que possible.